群发资讯网

读数字时代的网络风险管理:策略、计划与执行10实施计划(下)

2026-02-04 12:58:28 躺柒 科技
1.敏捷治理1.1.敏捷的网络风险治理对企业的成功至关重要1.2.在最初的30天内1.2.1.指定并召集一个由各业务单位

1. 敏捷治理

1.1. 敏捷的网络风险治理对企业的成功至关重要

1.2. 在最初的30天内

1.2.1. 指定并召集一个由各业务单位代表组成的网络风险指导委员会,以指导敏捷治理和更广泛的网络风险管理计划的实施,并制订使命声明以及短期和长期目标

1.2.2. 根据“三道防线模型”,进一步明确治理角色和责任

1.2.3. 确保网络风险治理实践与现有的企业或组织风险框架一致

1.2.4. 起草企业网络风险管理计划的战略和流程

1.2.5. 告知受影响的利益相关者计划的治理措施及其原因

1.2.6. 明确负责治理不同方面的人员和职能,并确保他们充分理解自己的角色

1.3. 在接下来的60天内

1.3.1. 治理机构(包括董事会和高层管理人员)定义并批准网络风险实践的范围

1.3.2. 实施经批准的网络风险实践战略和流程

1.3.3. 明确负责监督治理实践的董事会或高层管理人员的职责

1.3.4. 开展差距分析,确定既定角色和职责所需的资源和技能

1.3.5. 定期实施内部审计,审查治理实践是否符合既定战略和流程

1.3.6. 制订持续培训计划,以保持团队成员所需的知识更新和技能提升

1.3.7. 提升企业网络风险管理计划意识,分享最新实践方法,确保每个人都能理解自己在新组织中的角色

1.4. 挑战

1.4.1. 确立起点

1.4.1.1. 如果企业已建立风险治理机构,但还没有处理网络风险管理问题,那么该机构可能为治理倡议建立了基础

1.4.2. 获得高层支持

1.4.2.1. 网络风险管理领导者可以通过向董事会或者高层领导展示符合企业优先级安排和特定行业要求的敏捷治理案例,来克服这一问题

1.4.2.2. 治理责任远高于安全领导层的级别

1.4.2.3. 如果企业领导者未能解决治理的需求,他们就是在默许随之而来的风险和责任

1.4.3. 获取必要的预算和其他资源

1.4.3.1. 资金始终是新计划所面临的问题

1.4.3.2. 网络风险管理计划不一定是资源密集型的,但采用高级风险报告功能(如量化网络风险)就需要新的工具

1.4.4. 适应特定企业的环境

1.4.4.1. 范围

1.4.4.1.1. 治理机构必须明确网络治理倡议所涵盖的领域范围

1.4.4.2. 独立性

1.4.4.2.1. 独立性对于治理的有效性至关重要,因为一些内部有影响力的利益相关者在风险问题上发生冲突时,他们会向治理机构施加压力

1.4.4.3. 权威性

1.4.4.3.1. 治理机构必须拥有权力执行其决定,并且这种权威性必须传达给所有利益相关者

1.4.4.4. 透明度

1.4.4.4.1. 必须定期向董事会或其他高级管理者汇报企业治理实践工作的得失,以及由于风险环境的变化而产生的任何治理变更。这项工作将被定期监控和审查

2. 风险指引体系

2.1. 风险信息不仅包括安全威胁和漏洞,还涉及企业网络风险环境的详尽且可操作的信息,这些信息被翻译成商业术语,是网络风险管理计划成功的关键

2.2. 作为网络风险管理计划的关键组成部分,风险信息对于避免或减轻企业公共声誉和品牌形象的损害也很重要,而且,更要紧的是,风险信息有助于企业在不断变化的商业环境中保持竞争优势

2.3. 在最初的30天里

2.3.1. 选择一个合适的框架开展网络风险识别、评估和计量,框架应该满足企业特定的业务需求、监管要求和行业环境,并获得治理机构的批准

2.3.2. 根据业务结构明确资产评估范围、评估频率,并建立与关键利益相关者沟通的最佳方式

2.3.3. 建立企业风险矩阵

2.3.3.1. 应当制订风险标准和分类,并经相应的利益相关者批准

2.3.4. 制订一个用于设定风险等级和阈值的框架

2.3.4.1. 选择一个公认的方法确定企业的风险偏好和容忍度

2.4. 在接下来的60天内

2.4.1. 完善确定企业风险偏好和容忍度水平的方法,并由治理机构内的相关方批准

2.4.2. 组织会议或研讨会,与利益相关者保持持续的互动,并更深入地了解企业的风险报告需求

2.4.3. 开展风险评估,根据企业的风险概况,确定进行评估的频率(季度、半年或年度)和范围

2.4.4. 使用新方法进行风险评估初评,以深入了解当前的风险环境

2.4.4.1. 包括业务风险评估试点,如有必要,可聘请外部顾问或其他第三方参与

2.4.5. 制订报告流程,向治理机构呈现风险总体情况,包括可能影响企业风险实践的环境变化

2.4.6. 开始向治理机构报告当前的风险状况以及商业环境的变化可能影响企业风险的概况

2.4.7. 从方法和已识别出的风险出发,建立3~5个关键风险指标(KRI),设定合理阈值,以评估和监控企业可能面临的主要风险

2.5. 挑战

2.5.1. 处理海量或类型错误的数据

2.5.1.1. 企业面临海量数据,其中包括一些运营指标,部分对网络风险管理至关重要,其他的则无关紧要(安全信息广泛多样,但并非所有安全信息都是风险信息)

2.5.1.2. 一个切入点是可以使用现有的风险评估流程来设计关键风险指标和关键绩效指标,这些指标衡量的是针对最主要风险的关键缓释控制措施

2.5.1.3. 如果在开始时向利益相关者提供过量的信息,可能会削弱实施的初衷和意图

2.5.2. 向特定的利益相关者传递他们能理解和接受的信息非常重要

2.5.2.1. 始终考虑信息的目标受众至关重要

2.5.2.2. 不同类型的利益相关者不仅对风险信息的需求和偏好各不相同,他们还希望这些信息能以不同的方式传达给自己

2.5.2.3. 选择适合目标受众的语言,本质上就是以最清晰易懂的方式讲述故事,是确保风险信息被充分理解并支持基于风险的决策的关键

2.5.3. 在对的时间将对的信息及时传递给对的人

2.5.3.1. 风险数据只有传递给需要它的利益相关者(董事会、高层管理人员、资产和风险所有者)时才有可操作性,并且只有在他们足够早接收到的情况下,才能基于这些信息做出明智的风险决策

2.5.3.2. 一个良好的开始是构建与已识别的业务问题相匹配的风险指标,并与业务部门确定合适的风险阈值和目标

2.5.4. 额外的考虑因素

2.5.4.1. 成熟度建模

2.5.4.1.1. 成熟度建模是定义企业目前成熟度的过程,包括人员、流程和技术方面,以及期望的未来状态

2.5.4.1.2. 进行同行业基准比较是有帮助的,但要认识到,单纯的基准比较并不能直接转化为可用的风险信息

2.5.4.1.3. 主要是它并未考虑到特定公司所面临的风险环境发生的变化,尤其是数字化带来的新兴风险类型

2.5.4.2. 度量报告(关键绩效指标和关键风险指标)

2.5.4.2.1. 绩效测量/度量方法使用企业真实数据来确定现有流程和控制措施的有效性和效率

2.5.4.2.2. 该方法分析当前与预期的差距,并利用得到的信息来获取一致意见,并沟通可接受的风险水平

2.5.4.2.3. 基于KPI,但KPI经常是随意定义的,并没有得到风险所有者或治理机构的批准

2.5.4.2.4. 其方法是自下而上的,安全部门自行设定了目标,然后对目标实现情况进行了跟踪

2.5.4.2.5. 建立风险阈值(也就是企业愿意承担的风险)的过程,是绩效指标/衡量标准的价值所在

2.5.4.2.6. 安全组织不是基于企业的真实需求,更多的是根据经验、对风险的感知,或仅凭直觉设定一个百分比

2.5.4.2.7. 阈值可以被认为是KPI或KRI的指示器,它们显示出绩效或风险可能超出其预期目的或可接受风险等级的点

2.5.4.3. 风险评估(定性和定量)

2.5.4.3.1. 风险评估是系统性地评估特定风险发生的可能性和潜在影响,并提出管理和缓释风险所需的措施

2.5.4.3.2. 定性方法是大多数企业传统上用于风险评估的方法,虽然定性方法存在明显的局限性,但有实际价值

2.5.4.3.3. 企业逐步意识到精确的度量指标转化为经济价值的必要性,定量方法正变得越来越普遍

2.5.4.3.4. 定量评估的复杂性催生了新的网络风险量化(CRQ)软件应用的快速兴起,这类应用采取真实数据驱动的方法,分析与企业特定商业和技术环境相关的风险场景,使评估过程自动化

2.5.4.3.5. 蒙特卡洛模拟

2.5.4.3.5.1. 是另一种考虑复杂变量的有用方法,通过模拟风险结果和创建结果分布来得出更准确的风险评估

2.5.4.3.5.2. 一种定量方法,可以利用计算机建模来量化特定风险发生的可能性,这有助于更深入地分析和解释潜在威胁,为基于风险指引决策的制订提供客观的数据支持,并使评估特定风险场景的合理性成为可能

2.5.4.3.6. 贝叶斯方法

2.5.4.3.6.1. 一种概率推理类型,它使用先验知识、经验和证据来评估和更新对特定事件发生可能性的判断

2.5.4.3.6.2. 在医学和市场营销等多个不同行业中得到了广泛应用

3. 基于风险的战略和执行

3.1. 作为平衡风险与回报的艺术,风险管理永远不会完美

3.2. 防护住企业面临的所有风险是不可能的,任何试图做到这一点的努力都注定会失败,同时还会限制企业快速应对风险环境变化的响应能力,甚至影响业务正常运行

3.3. 在最初的30天内

3.3.1. 首先通过治理机构,由风险所有者批准确定企业可接受的风险等级,也就是风险偏好和风险容忍度

3.3.2. 制订与风险等级相匹配的风险应对策略

3.3.2.1. 涉及对已识别风险的恰当应对措施,包括风险规避、风险缓释、风险转移和风险接受

3.3.3. 准备风险应对策略预算,预算应与可接受的风险等级和风险可能造成的影响相匹配

3.3.4. 开始制订关键绩效指标和运营度量标准,用于衡量风险应对策略的有效性

3.4. 在接下来的60天内

3.4.1. 实施企业级的风险应对策略,重点关注沟通和跨部门的协作

3.4.2. 使用已建立的关键绩效指标和运营度量标准,对风险应对策略持续监测,确保其有效性

3.4.3. 定期向利益相关者汇报风险应对策略的进展和有效性

3.4.4. 启用审计监督流程,监控风险应对计划的执行,确保执行与可接受的风险等级相符

3.5. 挑战

3.5.1. 预算和其他资源的不足

3.5.1.1. 平衡风险与回报意味着需要在风险、资源和能力间做好权衡

3.5.1.2. 基于风险的战略和执行几乎总需要在新技术上进行投资,有时也要为内部员工或外部承包商提升技能水平进行投资

3.5.2. 合规驱动的战略

3.5.2.1. 侧重于遵守规则、法规和要求

3.5.2.2. 不是理解并向企业传递网络威胁可能带来的更广泛影响

3.5.2.3. 安全策略应源于对企业风险偏好和容忍度的全面理解,这可能包含但不限于合规方面的考虑

3.5.2.4. 将战略举措和预算提案与更广泛定义的风险偏好和容忍度水平保持一致,建立基于风险的战略有助于应对这一挑战

3.5.2.5. 面对有限的资源和过度的合规聚焦两大挑战,可以通过实施网络风险管理计划来解决

4. 风险升级和披露

4.1. 风险升级和披露对于保护企业及其决策者至关重要

4.2. 不仅仅是识别和响应安全事件或已建立关系的问题,关键是不应该默认由安全组织承担风险升级和披露的责任

4.3. 必须是一个由高层领导和企业治理机构批准的正式流程,明确过程中涉及的角色和职责,包括谁负责做出关于风险升级的决策

4.4. 在最初的30天里

4.4.1. 明确定义已识别风险的升级程序

4.4.1.1. 包括哪些风险需要升级、何时升级、向谁汇报以及报告中应包含什么内容

4.4.2. 对于所有企业,确保所有利益相关者都认识到网络风险管理、治理和重大事件报告披露的强制性要求

4.4.2.1. 对于上市公司,需要定义重大风险考虑因素清单,用于判断风险是否为重大风险

4.4.3. 制订或更新风险披露的程序,需要考虑企业的特定风险隐患、环境和要求

4.4.4. 开展面向关键人员的新版风险升级和披露的流程及步骤的培训

4.4.5. 建立风险升级和披露的流程及步骤的主动审计机制

4.5. 在接下来的60天内

4.5.1. 在开发和审查后且在实施前,确定风险升级和披露程序,并得到治理机构批准

4.5.2. 定期监测风险升级和披露实践的实施和执行情况

4.5.3. 执行风险升级和披露流程的首次审计,以确保其有效性及符合相关政策、程序和法规

4.5.3.1. 收集审计结果与反馈意见,并改进流程

4.6. 挑战

4.6.1. 将风险升级理解为对事件的响应是不够的

4.6.1.1. 风险升级是主动管理可能对企业造成损害的潜在风险和漏洞的过程

4.6.2. 未能识别和专注于企业特定的义务

4.6.3. 对重要性因素的考量过于笼统、孤立或宽泛

4.6.3.1. 决定哪些资产是重要的,哪些风险是重大的,不是一个简单或公式化的工作

4.6.3.2. 解决这个问题涉及完善用于评估风险重要性的标准,可以通过与风险指引体系保持一致,根据目标的潜在影响设定具体、可测量的风险升级阈值来实现

阅读:1

热门分类